¿Cómo funciona un ataque de Ransomware?

El ataque de ransomware dirigido típico funciona del siguiente modo:

1. OBTIENE ACCESO

a. Correo electrónico de spam o phishing con archivos adjuntos maliciosos, o una descarga web o un documento que contiene exploits.

b. Funciones remotas de gestión/uso compartido de archivos como el RDP.

2. AUMENTA LOS PRIVILEGIOS HASTA LLEGAR A ADMINISTRADOR

Los atacantes explotan vulnerabilidades del sistema para obtener niveles de privilegios que les permitan eludir el software de seguridad. Para ello, pueden reiniciar y ejecutar el host comprometido en modo seguro.

3. INTENTA DESACTIVAR O ELUDIR EL SOFTWARE DE SEGURIDAD USANDO ARCHIVOS ALTAMENTE PERSONALIZADOS

De no conseguirlo, trata de infiltrarse en la consola de gestión de seguridad y desactivar los sistemas de seguridad.

4. DESPLIEGA LA CARGA

a. Usando un exploit automatizado

b. Reconocimiento manual de la red

Primero buscarán copias de seguridad almacenadas en la red local y las eliminarán, lo que hará mucho más difícil la recuperación e incrementará las probabilidades de que la víctima pague el rescate. Luego suelen exfiltrar datos confidenciales de la empresa para venderlos en la Web Oscura.

5. PROPAGA EL RANSOMWARE

Después los hackers cifrarán los datos y archivos de las empresas explotando vulnerabilidades de la red y el host o protocolos básicos de uso compartido de archivos para infiltrarse en otros sistemas de la red y propagar ransomware de cifrado de archivos.

6. DEJA UNA NOTA DE RESCATE QUE EXIGE UN PAGO POR DESCIFRAR LOS ARCHIVOS

7. ESPERA A QUE LA VÍCTIMA SE PONGA EN CONTACTO POR CORREO ELECTRÓNICO O MEDIANTE UN SITIO DE LA WEB OSCURA

Fuente: www.sophos.com- PRÁCTICAS RECOMENDADAS CON FIREWALLS PARA BLOQUEAR EL RANSOMWARE / PDF Agosto 2020.

Dejar un comentario

Se el primero en comentar

Notify of

wpDiscuz